Перейти к содержанию
Правила раздела

компьютер сам выключается

Максим Павельев

От Максим Павельев
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

Удалите Zaxar, Pbot через установку программ в панели управления


HiJackThis (из каталога автологгера) профиксить

O4 - HKCU\..\Run: [PBot] "C:\Users\MainUser\AppData\Roaming\PBot\python\pythonw.exe" "C:\Users\MainUser\AppData\Roaming\PBot\launchall.py"
O4 - HKCU\..\Run: [Zaxar] "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent
O4 - HKCU\..\Run: [ccamyuyxhq] explorer "http://imatiro.ru/?utm_source=uoua03&utm_content=2ab9a970874b6c3a100ddbe365669ec3&utm_term=36BEC3B5CD46CA95743BB5A67CD401B6&utm_d=20160417"
O4-32 - HKLM\..\Run: [Kinoroom Browser] "C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe" --auto-run-reg
O22 - ScheduledTask: (Ready) A7D005AF7-7E19-4ED7-A237-8D30C34C4E20 - \Microsoft\Windows - "C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\644647A5-68AF-48C2-B7F0-92A4A6B0CC12.exe" --getupdate-ppapi-plugin
O22 - ScheduledTask: (Ready) InternetBF - {root} - "C:\Users\MainUser\AppData\Local\Amigo\Application\amigo.exe" http://journalslives.ru/peoplesm (file missing)
O22 - ScheduledTask: (Ready) InternetSF - {root} - "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://thisgo.su/cgosm (file missing)
O22 - ScheduledTask: (Ready) KRBLNKRUN - \Microsoft\KRBUUS - "C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe" (file missing)
O22 - ScheduledTask: (Ready) Soft installer - {root} - "C:\Users\MainUser\AppData\Local\Hostinstaller\3738792118_installcube.exe" subid=792;src=installcube;scheduler=1

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxargamebrowser.exe');
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxarloader.exe');
 TerminateProcessByName('C:\Users\MainUser\AppData\Roaming\svchost.exe');
 QuarantineFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\644647A5-68AF-48C2-B7F0-92A4A6B0CC12.exe','');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','');
 QuarantineFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('c:\program files (x86)\zaxar\zaxarloader.exe','');
 QuarantineFile('C:\Users\MainUser\AppData\Local\Hostinstaller\3738792118_installcube.exe','');
 QuarantineFile('C:\Users\MainUser\AppData\Roaming\PBot\launchall.py','');
 QuarantineFile('C:\Users\MainUser\AppData\Roaming\svchost.exe','');
 QuarantineFile('C:\Windows\TEMP\clearcache.dll','');
 DeleteFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\644647A5-68AF-48C2-B7F0-92A4A6B0CC12.exe','32');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32');
 DeleteFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('c:\program files (x86)\zaxar\zaxarloader.exe','32');
 DeleteFile('C:\Users\MainUser\AppData\Local\Hostinstaller\3738792118_installcube.exe','32');
 DeleteFile('C:\Users\MainUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser.lnk','32');
 DeleteFile('C:\Users\MainUser\AppData\Roaming\PBot\launchall.py','32');
 DeleteFile('C:\Users\MainUser\AppData\Roaming\svchost.exe','32');
 ExecuteFile('schtasks.exe', '/delete /TN "InternetBF" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "InternetSF" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A7D005AF7-7E19-4ED7-A237-8D30C34C4E20" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true, ' ');
 DeleteDirectory('c:\program files (x86)\zaxar');
 DeleteFileMask('C:\Program Files (x86)\Kinoroom Browser', '*', true, ' ');
 DeleteDirectory('C:\Program Files (x86)\Kinoroom Browser');
 DeleteFileMask('C:\Users\MainUser\AppData\Local\Hostinstaller', '*', true, ' ');
 DeleteDirectory('C:\Users\MainUser\AppData\Local\Hostinstaller');
 DeleteFileMask('C:\Users\MainUser\AppData\Roaming\PBot', '*', true, ' ');
 DeleteDirectory('C:\Users\MainUser\AppData\Roaming\PBot');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ccamyuyxhq');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zaxar');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

- Подготовьте лог AdwCleaner и приложите его в теме.
 
Ссылка на комментарий
Поделиться на другие сайты
Максим Павельев Продвинутый

Максим Павельев

Опубликовано
  • Автор
Опубликовано

KLAN-5672677429

Thank you for sending a file for analysis to the Anti-Virus Lab.

Kaspersky Anti-Virus has scanned files.

Riskware application which may harm your computer was detected in files:
644647A5-68AF-48C2-B7F0-92A4A6B0CC12.exe - not-a-virus:Downloader.NSIS.Agent.afp
3738792118_installcube.exe - not-a-virus:HEUR:Downloader.Win32.AdLoad.gen
svchost.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.tb

No malware detected in files:
launchall.py

We will thoroughly analyze files. If the result of the analysis is different from this scan result, you will be notified via email within 5 days.

This is an automatically generated message. Please, do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

AdwCleaner_S0.txt

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • vika_
      Помощь в содержимом компьютера
      От vika_
      Добрый день! Компьютеру лет 10, вообще не разбираюсь, что и как у него. Решила включить, вроде заработал, но сильно шумел. Подумала, что надо друга то почистить,  но вот, когда открыла, поняла, что не знаю как действовать.
       Во-первых, лежали две детали, без своего места. Во-вторых, смутили 3 провода, которые висели, не подключенные никуда. Ну и в-третьих, можно ли аккуратно снять вентилятор и почистить за ним, боюсь чтоб не случилось ничего(
      Прошу понять и простить меня: в компьютерах совсем 0((


    • Haldor
      Тормозит компьютер
      От Haldor
      Здравствуйте, компьютер в последнее время стал намного медленнее загружать систему, в процессе загрузки бывает зависает, в работе, тоже подвисает. Доктор веб и утилита касперского не нашли не чего. Есть подозрения на вирусы. посмотрите логи пожалуйста. Спасибо. 
      CollectionLog-2024.10.10-08.12.zip
    • wolfson
      На компьютере, вероятно, был майнер
      От wolfson
      Доброго дня. Столкнулся с проблемой. На компьютере, вероятно, был майнер который загружал ссд и оперативку. Решил переустановить виндовс 10, но к несчастью, после перезагрузки, всё заканчивается на выборе носителя с установенной ОС Windows с сайта производителя. До этого хотел обновить биос и всё делал по инструкции с сайта материнки, но процесс зависает и пишет, что файл поврежден. После, по видосикам с ютуба, скачал avbr и miner search, всё делал по инструкции. И, вроде как, всё хорошо, но переустановить виндовс всё так же не получается. С биосом такая же проблема. 
      Люди добрые, огромнейшая просьба подсказать как справиться с данной проблемой. Спасибо заранее.
    • Dwight
      Возможное заражение компьютера
      От Dwight
      Думаю заразил Пк вирусами, так-как при банальном открытии браузера вентиляторы начинают активно набирать обороты, а работать в программах для монтажа стало просто невозможно, но все проблемы меня покидают после открытия диспетчера задач
       
      CollectionLog-2024.10.24-13.20.zip
    • Алексей maestroalexey
      [РЕШЕНО] Постоянно после перезагрузки компьютера находит HEUR:Trojan.Multi.GenBadur.genw
      От Алексей maestroalexey
      CollectionLog-2024.10.29-10.32.zip
×
×
  • Создать...